Dura Lex → Ужасная догадка: более чем 2 200 000 российских блогов одновременно признаны экстремистскими по решению одного из районных судов Ульяновска
Всякий, кто в последнее время лицезрел Федеральный список экстремистских материалов, опубликованный на сайте Министерства юстиции, уж конечно видал там (в пункте № 954) некий «интернет-сайт Данные WHOIS, однако, неопровержимо свидетельствуют о том, что домен livainternet.ru был создан 14 июня 2011 года.
Если мы после краткого, но мучительного колебания всё же решительно отложим в сторону ту умопотрясающую и зловещую (но совершенно фантасмагорическую) версию объяснения событий, согласно которой следственная и судебная система Ульяновска располагает машиною времени или прибегает к услугам провидцев грядущего, то тогда поневоле приходится прийти к выводу не менее ошарашивающему:
Информационная безопасность → Множественные CSRF уязвимости в крупнейших порталах Рунета из песочницы
Простите мне заголовок в стиле Securitylab, но факт остается фактом.
Сначала я планировал написать о CSRF уязвимостях, которые я нашел в одном из крупнейших порталов Рунета. Но оказалось, что этим уязвимостям подвержен не только этот портал, а большинство крупнейших ресурсов. О найденных проблемах я сообщил в соответствующие компании полтора месяца назад. Сейчас у меня снова появилось время и я посмотрел, что же уже закрыто. Оказалось, что за полтора месяца была закрыта только 1 уязвимость.
Т.к. уязвимости ещё рабочие, я напишу только где их нашёл и как их можно использовать. Через неделю обещаю выложить работающие примеры для чайников — чтобы воспользоваться смогли школьники и домохозяйки. Кто не спрятался — я не виноват.
Нагнетаю интригу: я искал уязвимости в Яндексе, Рамблере, Mail.ru, Вконтакте, ЖЖ и на других популярных ресурсах. Если не терпится узнать где и какие уязвимости я нашел — сразу переходите к разделу «Список уязвимостей».
Для понимания обнаруженных уязвимостей понадобятся хотя бы базовые знания о том, что такое CSRF. Если их нет — не расстраивайтесь, ниже я попробовал доступно это объснить (правда, по-моему, не получилось). Если вы и так в курсе, что это такое, или же наоборот, не собираетесь в этом разбираться — смело переходите к результатам моего поверхностного аудита.
Для начала имеет смысл почитать Википедию. Если читать по-английски лень (на русском языке в Википедии почти ничего по теме нет, на Хабре тема освещена чрезвычайно слабо), а узнать что-нибудь хочется, то вот краткоесодержание предыдущих серий описание этой уязвимости.
UPD: главный разработчие Liveinternet.ru не верит в существование CSRF. Раскрываю его уязвимости раньше обещанной недели. Здесь пример использования. Будьте внимательны, если у вас есть аккаунт в LiRu.
UPD 2: Работа уязвимости продемонстрирована, пример пока убрал.
UPD 3: Неделя прошла. Выкладываю работающие/работавшие примеры. Времени мало, поэтому пока не проверяю, что работает, а что нет. Буду признателен, если отпишете об этом в комментариях. Все вопросы, пожелания, предложения — в ответах к этому комментарию.
Рамблер, Mail.Ru, Liveinternet, Яндекс
Сначала я планировал написать о CSRF уязвимостях, которые я нашел в одном из крупнейших порталов Рунета. Но оказалось, что этим уязвимостям подвержен не только этот портал, а большинство крупнейших ресурсов. О найденных проблемах я сообщил в соответствующие компании полтора месяца назад. Сейчас у меня снова появилось время и я посмотрел, что же уже закрыто. Оказалось, что за полтора месяца была закрыта только 1 уязвимость.
Т.к. уязвимости ещё рабочие, я напишу только где их нашёл и как их можно использовать. Через неделю обещаю выложить работающие примеры для чайников — чтобы воспользоваться смогли школьники и домохозяйки. Кто не спрятался — я не виноват.
Нагнетаю интригу: я искал уязвимости в Яндексе, Рамблере, Mail.ru, Вконтакте, ЖЖ и на других популярных ресурсах. Если не терпится узнать где и какие уязвимости я нашел — сразу переходите к разделу «Список уязвимостей».
Для понимания обнаруженных уязвимостей понадобятся хотя бы базовые знания о том, что такое CSRF. Если их нет — не расстраивайтесь, ниже я попробовал доступно это объснить (правда, по-моему, не получилось). Если вы и так в курсе, что это такое, или же наоборот, не собираетесь в этом разбираться — смело переходите к результатам моего поверхностного аудита.
Для начала имеет смысл почитать Википедию. Если читать по-английски лень (на русском языке в Википедии почти ничего по теме нет, на Хабре тема освещена чрезвычайно слабо), а узнать что-нибудь хочется, то вот краткое
UPD 2: Работа уязвимости продемонстрирована, пример пока убрал.
UPD 3: Неделя прошла. Выкладываю работающие/работавшие примеры. Времени мало, поэтому пока не проверяю, что работает, а что нет. Буду признателен, если отпишете об этом в комментариях. Все вопросы, пожелания, предложения — в ответах к этому комментарию.
Рамблер, Mail.Ru, Liveinternet, Яндекс
История ИТ → В самом начале нынешней недели умер Михаил Елашкин
В ночь на 30 мая 2011 года скончался Михаил Елашкин — главный редактор сайта президентской комиссии по модернизации (i-Russia.Ru) и создатель (в 2005 году) сетевой площадки ITBlogs.Ru.
О жизненном и созидательном пути покойного сообщают некрологи на сайтах CNewsи ITBlogs.Ru. Его сестра оставила в его блоге (на LiveInternet) последнюю блогозапись, а сайт «Вебпланета» поднял из архивов статью, в которой излагались взгляды Елашкина на преображение копирайта в цифровую эру и предложение наряду с символом «©» использовать три другие значка, функционально ему близкие.
О жизненном и созидательном пути покойного сообщают некрологи на сайтах CNews
Блог компании NetCat → 4 российских CMS вошли в мировой топ
Проект W3Techs австрийской компании Q-Success Web-based Services собирает статистику использования веб-технологий. Выборка — миллион самых популярных сайтов по версии Alexa (подробнее о методике тут, на английском). Помимо операционных систем, веб-серверов и пр. есть отчет и по системам управления сайтами. Согласно исследованию, в списке сорока шести систем управления сайтами (имеющих долю не меньше 0,1%) четыре продукта произведено в России.
Социальные сети → Статистика LiveInternet по социальным сетям
С 8 февраля в статистике LiveInternet появился новый раздел «Социальные сети», в котором присутствует и Хабрахабр.
Например, вот статистика по переходам на российские сайты СМИ за вчерашний день.
Например, вот статистика по переходам на российские сайты СМИ за вчерашний день.
Блогосфера → О навигации в блогах
Начну с того, что постараюсь описать свое видение на то, что из себя представляют Блоги в рунете. Итак, блоги зачастую представляют из себя персональные дневники пользователей, где публикуются различные истории из жизни. Но, в них порой большую долю занимает контент, который можно считать новостным, а порой даже и научным (различные статьи, обзоры и пр.).
Так, со временем, множество блогов превратились в своего рода СМИ. Причем, более правдивые, с меньшим временем реагирования на ситуации и события в мире. Например, проблемы которые возникли с ICQ были очень быстро озвучены на Хабре и, сразу начали поступать решения этой проблемы. Именно Хабр стал своего рода основным источником знаний, который все время держал всех нас в курсе событий.
И уже сейчас можно заметить тенденцию, что все важные персоналии, компании в мире открывают свои дневники, блоги, в которых освещают события вокруг себя и своей деятельности.
Так, со временем, множество блогов превратились в своего рода СМИ. Причем, более правдивые, с меньшим временем реагирования на ситуации и события в мире. Например, проблемы которые возникли с ICQ были очень быстро озвучены на Хабре и, сразу начали поступать решения этой проблемы. Именно Хабр стал своего рода основным источником знаний, который все время держал всех нас в курсе событий.
И уже сейчас можно заметить тенденцию, что все важные персоналии, компании в мире открывают свои дневники, блоги, в которых освещают события вокруг себя и своей деятельности.
Исследования и прогнозы в IT → Интернет-магазины мечтают следить за посетителями в режиме реального времени
Мне стали доступны результаты исследования «Оценка эффективности сайта: инструменты и практика».
Название парадное, конечно, но — насколько мне известно — это первое исследование, результаты которого показывают, как на практике российские компании применяют инструменты веб-аналитики для оценки эффективности как своих сайтов, так и рекламных интернет-кампаний. Автор труда агентство интернет-маркетинга «Matik»
Оценка эффективности сайта, результатов рекламной кампании и поискового продвижения невозможна без изучения данных статистики посещаемости. Например, с их помощью можно выявить потенциально-полезные сайты для размещения рекламы, PR-продвижения и проведения маркетинговых акций. Важность анализа статистики возросла в период экономического кризиса, т. к. она предлагает надежные критерии для отделения «зерен от плевел» — полезных источников трафика от «пустышек» — и помогает эффективнее распределить сократившиеся маркетинговые бюджеты.
Практическая ценность исследования в том, что оно выявляет недостатки в изучении статистики, которые присущи большинству компаний.
Под катом много текста и несколько графиков.
Название парадное, конечно, но — насколько мне известно — это первое исследование, результаты которого показывают, как на практике российские компании применяют инструменты веб-аналитики для оценки эффективности как своих сайтов, так и рекламных интернет-кампаний. Автор труда агентство интернет-маркетинга «Matik»
Оценка эффективности сайта, результатов рекламной кампании и поискового продвижения невозможна без изучения данных статистики посещаемости. Например, с их помощью можно выявить потенциально-полезные сайты для размещения рекламы, PR-продвижения и проведения маркетинговых акций. Важность анализа статистики возросла в период экономического кризиса, т. к. она предлагает надежные критерии для отделения «зерен от плевел» — полезных источников трафика от «пустышек» — и помогает эффективнее распределить сократившиеся маркетинговые бюджеты.
Практическая ценность исследования в том, что оно выявляет недостатки в изучении статистики, которые присущи большинству компаний.
Под катом много текста и несколько графиков.
Персональные блоги → Новая функция счетчика LiveInternet
Захожу сегодня на liveinternet глянуть статистику проектов и вижу новую функцию в меню: «доля поискового трафика».
Что говорит LI:
Данный отчет формируется на основе анализа переходов с поисковых систем. В нем показывается, какая доля поискового трафика по каждому из запросов приходится на данный сайт.
Что говорит LI:
Данный отчет формируется на основе анализа переходов с поисковых систем. В нем показывается, какая доля поискового трафика по каждому из запросов приходится на данный сайт.
Персональные блоги → Герман Клименко — за свободный график работы программистов
Герман Клименко, владелец Liveinternet.ru, рассказал о сервисе, о новых проектах, и немного о стартаперах и их отношениях с инвесторами.
«Я бы с удовольствием купил какой-нибудь проект, но покупать нечего».
«Большинство стартаперов — полнейшие идиоты, считающие, что инвесторы — мудаки)»
«Главная их проблема — не умеют отделять проект от себя»
Запись, mp3; Страница на WmRadio
«Я бы с удовольствием купил какой-нибудь проект, но покупать нечего».
«Большинство стартаперов — полнейшие идиоты, считающие, что инвесторы — мудаки)»
«Главная их проблема — не умеют отделять проект от себя»
Запись, mp3; Страница на WmRadio